Fecha: Julio de 2008
Autor: Javier Alvarez Hernando (AC-ABOGADOS)
Publicado en: La Tribuna
del Derecho.
Puede descargarse este artículo en su edición impresa pulsando
aquí.
Una reciente Sentencia del Tribunal Supremo (STS 1932/2008, de 9 de mayo de 2008) viene a determinar la licitud como fuente de prueba, sin necesidad de autorización judicial, de los rastreos policiales realizados a través del popular programa de intercambio de archivos P2P (“peer to peer” ó “igual a igual”) denominado “Emule”.
El supuesto de hecho es el siguiente: en octubre de 2005 tuvo lugar en Sevilla un encuentro iberoamericano de “ciberpolicias”, motivo por el cual el Grupo de Delitos Telemáticos de la Guardia Civil decidió rastrear durante 7 días, sin autorización judicial alguna, redes de intercambio de archivos, con el fin de investigar la identidad de usuarios que descargaran fotografías y videos con contenido de pornografía infantil que previamente habían identificado (con un número denominado “hash”) e incluido en una base de datos que contaba con 1.000 archivos. Como consecuencia de todo ello, se obtuvo un listado de identificadores “IPs” (“Internet Protocols”) los cuales habían descargado y/o compartido alguno de los referidos archivos pornográficos. Una vez solicitado en un Juzgado de Instrucción de Sevilla que se oficiara mandamiento judicial a los proveedores de acceso a Internet para que identificasen a los titulares de las líneas y sus domicilios, se acordó la entrada y registro en el domicilio de una de las personas que aparecían en el listado, interviniéndose su ordenador. El Juzgado de Instrucción de Tarragona que resultó competente, entendió que la obtención del material probatorio vulneraba gravemente el derecho fundamental al secreto de las comunicaciones impidiendo entrar en el fondo del asunto, por lo que dictó una sentencia absolutoria, recurrida en Casación por el Ministerio Fiscal.
En su resolución el TS ―que relaciona el asunto con las Sentencias del Tribunal Constitucional de 20 de mayo de 2002, del Tribunal de Derechos Humanos de Estrasburgo, de 2 de agosto de 1984 (Caso Malone) y con el voto particular de dos magistrados en la Sentencia del TS de 19 de febrero de 2007― concluye que los rastreos policiales efectuados son legítimos, basando la argumentación en considerar que la información identificativa (mediante el número “hash”) de los usuarios que se habían descargado determinados ficheros de Emule es pública, por lo que no se precisa autorización judicial. El TS señala que “quien utiliza un programa P2P asume que muchos de los datos se convierten en públicos para los usuarios de Internet, circunstancia que conocen o deben conocer los internautas, y tales datos conocidos por la policía, datos públicos en Internet, no se hayan protegidos por el Artículo 18 C.E.”.
No obstante, entendemos muy discutible el citado criterio del TS, ya que ¿realmente el usuario sabe o debería saber que los datos de conexión y transferencia en las redes P2P son o no anónimas? En el sitio web de Emule (http://www.emule-project.net) se encuentra información relativa a la anonimicidad de este programa P2P. Se indica que “por medio de la dirección IP se puede identificar y localizar al usuario”. Igualmente señalan que Emule puede ser anónimo si se desvía el tráfico a través de un “proxy” anonimizador -se permite configurarlo a los usuarios desde el propio programa- o canalizando dicho tráfico a través de otros clientes. No obstante, reconocen que estos métodos tienen muchas desventajas concluyendo que “por el momento no hay ningún método seguro para ser anónimo en una red P2P”. Es decir, cabe alguna posibilidad de que el usuario sea anónimo en este tipo de programas, por lo que teniendo esto en cuenta, la premisa de que son datos públicos decae, por lo que entendemos que siempre sería necesaria autorización judicial para efectuar los rastreos.Por otro lado, discrepamos del criterio del TS y del Ministerio Fiscal recurrente, que entienden que “la huella de entrada queda registrada siempre y ello lo sabe el usuario”. Y es que, si el delincuente supiera que las descargas ilegales, por ejemplo de pornografía infantil, que realiza quedan registradas y que es fácilmente localizable se cuidaría mucho de hacerlas sin mecanismos anonimizadores, al igual que el ladrón suele ocultar su rostro cuando va a cometer un atraco.
Además, durante el proceso actual de instalación de la aplicación Emule el usuario no es informado en ningún momento de que los datos del tráfico no son anónimos, por lo que no tiene porqué conocer esta circunstancia. En otro orden de cosas, debe tenerse en cuenta que los programas P2P no verifican el contenido de los archivos descargados pudiendo los usuarios modificar el título del archivo que comparten, por lo que no es infrecuente que bajo un nombre inocuo se esconda en verdad contenido, por ejemplo, de pornografía infantil.Por otro lado, debe tenerse en cuenta la “Ley 25/2007 de conservación de datos relativos a las comunicaciones electrónicas y a las redes públicas de comunicaciones”, que permite el acceso, en su artículo 7, por parte de la policía judicial a datos de tráfico, que son conservados obligatoriamente por los proveedores de acceso a Internet durante 1 año. Este acceso a los datos debe contar siempre con autorización judicial que se prestará atendiendo a los principios de proporcionalidad y de necesidad.
Por último, no debe olvidarse el criterio de la Agencia Española de Protección de Datos que ha entendido que la dirección IP es considerada como un dato de carácter personal sometido, por tanto, a la normativa sobre protección de datos, manifestado en sus Informes de 16 de julio de 1999 y 213/2004, sobre los requisitos para el tratamiento (y cesión) de la dirección IP por parte de la Policía, en consonancia con el artículo 22 de la L.O. 15/1999.
